Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:prepare-zert [2021/01/24 18:29] – [DFN-PKI-Zertifikat holen] Wolfgang Pempede:shibidp:prepare-zert [2023/04/13 17:45] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 <- de:shibidp:prepare-tomcat|Vorarbeiten: Tomcat ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:prepare-http|Vorarbeiten: Webserver -> <- de:shibidp:prepare-tomcat|Vorarbeiten: Tomcat ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:prepare-http|Vorarbeiten: Webserver ->
  
-====== IdP-Vorbereitung: Zertifikate der DFN-PKI ======+====== IdP-Vorbereitung: Zertifikate ======
  
 ===== Zertifikat zur Validierung der Metadaten-Signatur holen ===== ===== Zertifikat zur Validierung der Metadaten-Signatur holen =====
  
-Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom [[https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem|DFN-AAI Portal]] herunterladen und z.B. unter ''/etc/ssl/aai/dfn-aai.pem'' ablegen. Der (SHA2) Fingerprint ist unter [[:de:metadata|Metadaten]] dokumentiert.+Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom [[https://www.aai.dfn.de/metadata/dfn-aai.pem|DFN-AAI Portal]] herunterladen und z.B. unter ''/etc/ssl/aai/dfn-aai.pem'' ablegen. Der (SHA2) Fingerprint ist unter [[:de:metadata|Metadaten]] dokumentiert.
  
 <code bash> <code bash>
 root@idp:~# mkdir /etc/ssl/aai/ root@idp:~# mkdir /etc/ssl/aai/
-root@idp:~# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem -P /etc/ssl/aai+root@idp:~# wget https://www.aai.dfn.de/metadata/dfn-aai.pem -P /etc/ssl/aai
  
 </code> </code>
Zeile 22: Zeile 22:
 </code> </code>
  
-===== DFN-PKI-Zertifikat holen =====+===== Zertifikate für Webserver und SAML-basierte Kommunikation =====
  
 Der IdP benötigt an zwei Stellen ein Zertifikat: Der IdP benötigt an zwei Stellen ein Zertifikat:
  
   * für die Kommunikation zwischen Client und Webserver über HTTPS und   * für die Kommunikation zwischen Client und Webserver über HTTPS und
-  * für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können auch [[de:certificates#schritt_2beschaffung_generierung_eines_neuen_zertifikates|selbst-signierte]] (müssen verifiziert werden) oder von einer (zuvor vom DFN-AAI-Team verfizierten) [[de:certificates#eigene_lokale_ca|lokalen CA]] ausgestellte Zertifikate verwendet werden. +  * für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]] oder von einer [[de:certificates#eigene_lokale_ca|lokalen CA]] ausgestellte Zertifikate verwendet werden. Auch [[de:certificates#selbst-signierte_zertifikate|selbst-signierte]] Zertifikate können verwendet werden.
  
-Wir empfehlen der Einfachheit halber, für beides dasselbe Zertifikat zu verwenden.+Webserver-Zertifikate des [[de:dfnpki:tcsfaq#zertifikate_erstellen|GÉANT TCS]] können grundsätzlich für beide o.g. Zwecke genutzt werden. Angesichts der Laufzeitverkürzungen für Webserver-Zertifikate sollten für die SAML-basierte Kommunikation jedoch andere Zertifikate mit längeren Laufzeiten verwendet werden
  
-<callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP'"> Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos am Webserver verwendet werden. </callout>+<callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP' in der DFN-Verein Community PKI"> Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann.</callout>
  
-Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits das Zertifikat der DFN-PKI holen. Die DFN-PKI-Zertifikate für die SAML-basierte Kommunikation (alternativ selbst-signierte oder aus einer lokalen CA - siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher empfehlen wir, zunächst mit den Zertifikaten zu testen, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.+Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits ein entsprechendes Zertifikat z.B. des [[de:dfnpki:tcsfaq#zertifikate_erstellen|GÉANT TCS]] holen.  
 + 
 +Die den  Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher kann die grundsätzliche Funktionalität des IdP zunächst anhand der Zertifikate erprobt werden, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.
  
 Zur Erstellung eines Zertifikatrequests siehe die [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083|FAQ der DFN-PKI]]. Zur Erstellung eines Zertifikatrequests siehe die [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083|FAQ der DFN-PKI]].
  • Zuletzt geändert: vor 3 Jahren